Apifox SaaS版桌面客户端遭供应链攻击，敏感文件存在泄露风险

API协作平台Apifox的公网SaaS版桌面客户端遭遇供应链攻击，其动态加载的外部JavaScript文件被恶意篡改。攻击窗口期长达18天，从2026年3月4日持续至3月22日。在此期间使用该客户端的用户，其本地设备上的高敏感文件面临泄露风险。攻击者使用的恶意域名已失效，但被植入的脚本具有概率性触发特征，威胁并未因域名下线而完全消除。

根据Apifox官方通告，攻击者控制的恶意域名 `apifox.it.com` 当时托管于Cloudflare。触发时，恶意脚本会读取用户本地设备上的关键敏感文件，包括SSH密钥目录（~/.ssh/）、命令行历史文件（~/.zsh_history, ~/.bash_history）以及Git凭证文件（~/.git-credentials）等，并可能将这些数据上报至攻击者的服务器。目前该域名已无法访问，官方表示无法复现攻击现场，但基于部分用户反馈和安全专家分析，确认了攻击的存在与潜在危害。Apifox私有化部署版本不受此次事件影响。

此次事件暴露了软件开发工具链（SDLC）中第三方依赖或资源被劫持的严重风险。对于在攻击窗口期内使用过Apifox SaaS版桌面客户端的开发者和企业而言，需立即排查本地设备，检查并轮换可能已泄露的SSH密钥、API令牌、服务器凭证及其他敏感信息。Apifox方面表示，正在联合安全团队进行深度溯源调查。该事件也为广泛依赖第三方库和外部资源的软件工具敲响了安全警钟，凸显了软件供应链安全监控与应急响应的紧迫性。